幻影桌面虚拟化企业方案建议书

幻影桌面虚拟化企业方案建议书内容摘要：

......................... 54 幻影桌面虚拟化平台应用方案 3 1. 系统建设概要 建设背景 XXX 公司 是 中国航空工业总公司所属大型企业，是 国家“一五”期间建设的156 项重点工程之一，是我国航空机轮及刹车附件的研制、发展基地和骨干生产企业，是国家航空机轮、轮胎等产品进出口检测及实验中心，是国家轿车制动系统零部件的定点生产厂，是国家 500 家最大交通运输设备制造企业之一。 随着 公司 业务的迅速发展、 XXX 公司 必须借助信息化来不断提高 管理效率和水平，进而提高 XXX 公司 的 经济效益和竞争力。 只有借助企业信息化这一强有力的手段，才能实现管理创新、制度创新，不断提高管理的效率和业务的精确度，降低企业成本，提高经营效率和效益。 企业信息化是现代企业所必需的，是研发制造型企业应该解决的重要问题，更是研发制造型企业加快实现市场占用的必然选择和重要机遇。 为了实现企业信息化建设要求、大幅降低企业 TCO 成本，就必须设计安全、可靠、高效的 IT 基础架构，在其之上承载各种复杂的应用系统，建立覆盖全局的安全、可靠、保密、实用、经济、合理的网络信息平台，以实现 web 浏览、邮件服务等基本网络应用，并在此基础上实现 OA、 CAD/CAM 系统应用、 CAPP/PDM、管理信息系统（包括 ERP 系统）等的网络应用，以保证企业的 运营效率。 现阶段，保障计算机网络运维的主要方法和途径是在 PC 的 Windows 操作系统之上去架构包括有实体保护、加密技术、存取控制、防火墙、入侵检测和安全审计、防病毒设置、系统备份和恢复等应用控制程序。 但 IT 是一个系统工程，不能仅仅依靠防火墙、防病毒、身份认证、系统恢复等单个的系统，因为 PC Windows 其存在应用调整难度大、安全漏洞多、管理难度高等诸多难题，再加上操作系统本身的局限，只要绕开或是破解了操作系统、那架构其上的很多管理工具、安全工具 、加密软件等 常常不攻自破，因此我们更需要从平台底层做起，仔细考虑整个系统的应用需求、安全需求、管理需求，从基础架构做起，首先基础架构 变得安全、灵活、高效，再加上各种安全技术和管理手段结合在一起才能生成一个高效、通用、安全的 IT 整体系统。 幻影桌面虚拟化平台应用方案 4 由于 XXX 公司 的 IT整体架构建设于早期，未 完全周密 考虑安全、保密、可集中管理、资源灵活性等需求， 然而随着 网络和计算机 的广泛应用，作为企业计算必须的网络平台，管理越来越分散的企业级计算平台将不得不面对几个问题的挑战：稳定性、安全性、可管理性、易用性、性价比以及 TCO（总体拥有成本）—— 这使得企业在很大程度上满足了具有自由、开放特性的个性化需求的同时，不得不面对着因管理乏力而导致的安全性、稳定性差、保密性差 等等问题，信息管理者疲于奔命却依然问题重重的现象。 此外，随着应用的普及，过度的分散还导致软硬件的不断重复加入，客观上增加了成本。 这也是令信息管理者十分头疼的问题。 由此，“集中”迅速成为一种被广泛接受的管理方案，这个方案的核心思想是：集中管理、集中存储，分布式计算，建立高安全、高可管理性的商业计算环境。 具体而言，一个纯硬件的电脑网络终端能够完全与 PC 机一样可以运行 PC所能运行的所有操作系统和所有应用软件，具备和 PC 机一样的软硬件兼容性和灵活的扩充性，并能够通过网络集中控制和管理， 以此从底层和架构上来解决XXX 公司 的 管理 、资源利用率和安全 难题。 幻影桌面虚拟化平台应用方案 5 2. 系统 总体设计 现状 描述和 分析 从目前的安全角度讲， XXX 公司 的 IT基础架构主要是从 应用层 来对系统和数据进行 防护 ， 主要采用 Windows 域 策略 、 PDM 软件 ， 应用层面 的 防护方式 有一个 先 天性的不足是它完全 依赖 Windows 操作系统，只要用户避开 Windows 系统等于没有安全。 也就是说用户完全可以利用光盘、 U 盘等其他介质引导 WinPE、NtfsDOS 等 第三方 引导系统、或是将硬盘挂到其他电脑上作为 从属 盘、以此来绕开本地 的应用管控工具 、将硬盘涉密数据拷出，造成 泄密 事故。 当然 还有 一种 常用的安全防护 方式是采用的文件加解密的方式防止文件失泄密事件，但这种 同样的应用层防护 方式也不能彻底的解决安全隐患，别有用心的人可以将加密文件拷出，进行各种破解尝试，将一些盗号木马拷入，尝试各种用户权限。 这就要求 XXX 公司 的 信息 管理 部门 对用户使用的应用软件及操作系统都要进行统一的管理，且硬盘离开 XXX 公司 的内部 网络就无法有效读取和恢复数据。 从 XXX 公司 未来的发展讲，随着未来组织机构的调整，以及不断的管理方式的调整，用户数据放到本地，对变动人员计算机相应数据的导入导出，工作量较大，本地数据没有有效的备份 和 管理 容易丢失。 新的 IT 基础架构要能 在 独立的 存储上 为 用户 建立 网络硬盘，每个用户 灵活分配存储 空间，进行授权访问，并且强制用户将工作数据存储到指定的 空间 上，用户可以在 集团 网任意一台计算机上 根据权限 登录，但只能使用自己的帐号 权限 访问自己的 授权数据。 这种方式便于用户工作交流，也便于公司的人员调整。 从 XXX 公司 今后软件采购成本讲， 集团 今后可能需要配置一些先进的国外工程分析 和开发 软件。 国外软件高额的成本和后续维护费用是企业发展的障碍。 新的 IT 基础架构要具备 购买最少的 软件 license 就可以快速推广到所有用户 的特性，可以 大大节约 集团 信息化投入成本， 降低投资风险；必须具备 快速的部署方式 ，能够 提高软件升级维护的效率，提高信息化推进速度，可以快速使公司得到信息化带来的巨大效益。 幻影桌面虚拟化平台应用方案 6 另外 客户端故障恢复 上，由于杀毒 软件始终落后于病毒生成的速度、很多时候 不能有效的查杀新病毒，用户的计算机一旦感染病毒，就会迅速在网络蔓延，全网清理病毒总要一段时间，这就极大影响公司的正常工作。 甚至造成用户重要数据的丢失。 这就要求新的 IT 基础架构建设要能够 ，即使遇到灾难性的全网系统瘫痪、也 能在几分钟内恢复所有系统的正常运行。 随着企业信息化的深入， IT 基础架 构中的 PC 桌面已经成为用户业务操作的平台，是 IT 运维的重要对象。 在能满足应用要求的条件下，企业对 PC 桌面的核心目标是要“管理”，从管理中求效益，从管理中获安全。 设计 原则 根据国家有关法律法规和相关标准，在保证系统基本设计原则的情况下，针对 XXX公司 的 信息系统， 提出了以下设计原则。 先 进性和成熟性原则 采用代表当前计算机发展趋势的先进技术和成熟的产品，确 保 XXX 公司IT基础架构 在一定时期内不落后，保证 基础 平台在技术上领先、成熟、稳定和可靠。 规范 性原则 采用开放的技术标准和结构体系，支持用户建立跨平台应用和 不同系统之间的无缝连接。 符合国家 和行业 的各项技术标准。 可靠性原则 整个系统必须具备高度的稳定性和可靠性，提供充分的可靠性服务。 系统运行稳定、故障率低、容错性强，避免出现 系统 瘫痪和灾难性的故障，实现 7*24 小时正常工作。 实用性原则 采用成熟可靠的技术和设备，达到实用、经济和有效的结果，同时在进行设计时，尽可能地利用原来的 硬件 资源和设备，其次， 系统 结构要有充分扩展升级能力。 安全性原则 在规划设计和维护管理的过程中要充分考虑 信息化 建设和信息安全相幻影桌面虚拟化平台应用方案 7 结合的原则，从物理、技术、管理等方面制订严格的方案，形成多层次 、全方位的安全保密防线，确保系统的安全性。 经济型原则 考虑到性价比的问题，尽量降低系统造价，针对现有系统实际情况，着重在完善系统功能，在不降低 系统 性能前提，最大限度地保护用户投资。 这是基本设计依据之一。 开放性原则 技术方案和 系统 具有良好的 兼容能力和 升级能力，遵循最新的国际标准、国家标准和行业标准，拥有良好的 兼容 性，以保证系统之间以及将来进一步拓展 系统 的应用可移植性和系统的可扩充性。 技术与管理相结合原则 任何一个计算机系统都是一个复杂的系统工程，其中涉及产品、过程和人的因素，因此它的安全总体解决方案，必 须在考虑技术解决方案的同时充分考虑管理、法律、法规方面的制约和调控作用。 单靠技术或单靠管理都不可能真正解决安全问题的，必须坚持技术和管理相结合的原则。 设计 目标 针对 XXX公司 在应用领域复杂多变的环境需求，运用一个全新的解决方案和基础架构理念，采用可使用性好、可管理性高、高度灵活弹性的技术，为主营业务构建一个高效、稳定、安全、可靠、灵活、兼容性强的基础性架构；大大提升现有 PC的使用效率，实现 IT管理对分散的 PC的集中式管理，以及客户应用与底层硬件基础设施剥离所带来的高度灵活性。 解决因为 PC分散且个性化太多而 导致的管理乏力，安全性、稳定性差，信息管理者疲于奔命的现象。 站在管理优化的角度， 要能够 赋予 IT管理者战略性的基础架构中央管理能力和安全控制能力。 而在用户层面，使用习惯无需改变、 PC应用的无缝兼容、个性化桌面应用的灵活调用。 系统设计的目标需满足以下需求 ： 幻影桌面虚拟化平台应用方案 8 . 中央控管 需求 2. 工作界面标准化 管理 企业内部原则上需要实现统一标准化的工作界面，以确保工作的效率。 如确需有不同的环境支持的，也可以单独走流程申请，待相关部门审批后开放其所需的环境。 2. 高效迅速的 桌面灾备 恢复 PC桌面是每个人 的工作平台，其数量远超服务器，人员复杂、用户计算机水平参差不齐，且分布的物理位置范围广，管理难度高，且应用复杂，新应用也多，这就要求 PC以及其上的信息化应用要易部署和易维护，发生故障可以从中央迅速高效的实现恢复。 2. 桌面 操作系统环境 中央 可控 为了保证企业 PC桌面的安全和可靠，企业需要对 PC桌面的操作系统、应用程序进行统一安装、管理，还要防止 员工 自行安装和修改或是从其他 U盘、光盘类介质启动非本机操作系统，以免 员工 借此摆脱 企业 IT安全策略的限制。 2. 桌面 应用软件 中央 可控 XXX公 司 不同的岗位有不同的应用需求，因此需要约定适合自身的应用列表，应用软件可控是 企业 对 PC桌面管控能力加强的重要特征。 操作系统和应用软件可控既能简化和稳定 企业 的 IT环境，又能对正版软件授权进行有效管理和灵活分配、降低软件采购成本。 完成了这个部分的工作后，可实现对企业 IT基础资源的基本控制。 2. 桌面 新应用平滑过渡 对于 XXX公司 而言，大多数时候随着需求的不断增加，应用领域的需求也愈加复杂，这就需要企业上马越来越多的应用软件环境以满足研发的需求。 而大多幻影桌面虚拟化平台应用方案 9 数应用软件或多或少的跟现有的环境需要磨合的地方 ，一旦磨合试用期出现问题会给终端带来灾难性的后果，因此需要灵活多变的架构使得新的应用能平滑的过渡，杜绝系统兼容性问题，减轻 IT管理部门的压力。 . 安全 管理 需求 2. 硬盘数据的安全 消除数据被盗或丢失的风险，保证分散的数据在企业备份迁移过程中不会泄露，电脑病毒也不会入侵，提高 PC 的安全标准。 2. 数据的集中管理 对于 XXX 公司 而言，大多数计算机用户属于知识工作者，工作成果也多数以电子形式存在，因此企业需要对员工工作的成果加以控制，防止 XXX 公司 的 核心知识资产的外泄，最佳的方式是“桌面 终端不留密”，做到应用和数据的分离，真正意义上做到应用的集中化管理，数据的集中化管理。 2. 安全管理体系的完善 传统手段所有安全体系均有一个先天性的安全漏洞，这是因为目前所有的安全产品如传统的主机审计、端口管理、桌面行为管理软件、身份认证、文件加密软件等因为其基于操作系统的特性、存在局限性，一旦有技术手段能绕开操作系统（如 PE 系统等）时，终端的安全体系就土崩瓦解，就像一个水桶的短板， 有了安全的 基础架构，安全体系才完善。 . 成本 管理需求 2. 提高软件正版化的利用率 集中化管理的带来的 好处，使得 企业 的设计研发软件的利用率达到顶峰，原则上只需购买使用软件的最高并发数即可，有利于企业利用更好的利用资源，随幻影桌面虚拟化平台应用方案 10 着未来企业的不断发展壮大，需要的设计软件逐渐增多，可以大大节省此方面的采购费用。 2. 运维成本管理 PC 桌面数量多，针对不同的工作岗位和要求，需要配置不同的 PC 桌面，作为 XXX 公司 信息化建设的基石，这个基础架构耗费了 IT部门绝大多数的精力，同时大幅增加了 IT 管理、运行、维护的费用。 IT 部门绝大多数精力花在安装软件，重装系统等重复性工作上，必须摆脱现状。 . 对核心研发部门的保障需求 对于一个企业来说，研发设计部门历来是 IT 维护管理中的重中之重，而面对日益复杂的各种应用系统、编译仿真软件以及各种庞大的设计软件如 catia等，简单的 IT 架构已经不适应现代化办公的需求，建立一个安全、可靠、保密、实用、经济、合理的 IT 架构变的越发重要，这样才能保证 企业 的与时俱进。 研发设计部门的需求大致有以下几点： 2. 研发工作站 的冗余灾备机制。